XJABAR.COM – Serangan siber yang menarget Vercel berawal dari komputer karyawan Context.ai yang terinfeksi malware infostealer — setelah orang tersebut mencari cheat game Roblox di internet.
Vercel mengungkap insiden ini dalam buletin keamanan yang diterbitkan Minggu lalu. Perusahaan berbasis San Francisco itu, yang dikenal sebagai pencipta Next.js, menyatakan sejumlah kecil pelanggannya terdampak dan langsung diminta mengganti kredensial mereka.
Para peneliti Hudson Rock menelusuri asal serangan ke bulan Februari. Saat itu, komputer seorang karyawan Context.ai terinfeksi malware Lumma Stealer setelah mereka mencari celah keamanan (cheat) untuk game Roblox — vektor umum yang dimanfaatkan penyebar infostealer.
Infeksi itu membuka jalan bagi penyerang untuk menembus sistem dan koneksi pihak ketiga yang dibiarkan aktif oleh karyawan Context.ai. Dari sana, penyerang mengakses token OAuth termasuk token akun Google Workspace milik seorang karyawan Vercel.
Vercel sendiri bukan pelanggan Context.ai. Namun, karyawan Vercel tersebut menggunakan Context AI Office Suite secara pribadi dan memberikan akses penuh kepada aplikasi itu.
“Penyerang menggunakan akses tersebut untuk mengambil alih akun Google Workspace Vercel milik karyawan, yang memungkinkan mereka untuk mendapatkan akses ke beberapa lingkungan Vercel dan variabel lingkungan yang tidak ditandai sebagai sensitif,” tulis Vercel dalam buletinnya.
CEO Vercel, Guillermo Rauch, mengakui data pelanggan yang disimpan perusahaan sepenuhnya terenkripsi. Namun penyerang tetap berhasil mendapatkan akses lebih lanjut melalui enumerasi — yakni dengan menghitung dan menginventarisasi variabel-variabel tertentu secara sistematis.
“Kami yakin kelompok penyerang ini sangat canggih dan, saya sangat curiga, dipercepat secara signifikan oleh AI,” kata Rauch dalam unggahannya di X. “Mereka bergerak dengan kecepatan yang mengejutkan dan pemahaman mendalam tentang Vercel.”
Sebuah kelompok yang menamakan diri ShinyHunters mengklaim bertanggung jawab atas serangan ini dan berupaya menjual data curian yang diklaim mencakup kunci akses, kode sumber, dan basis data.
Austin Larsen, analis ancaman utama di Google Threat Intelligence, menilai klaim itu perlu diwaspadai. Penyerang tersebut “kemungkinan besar adalah penipu yang mencoba menggunakan nama yang sudah dikenal untuk meningkatkan reputasinya,” tulisnya di LinkedIn. “Terlepas dari siapa pelaku ancaman yang terlibat, risiko paparan itu nyata.”
Vercel juga memperingatkan bahwa serangan terhadap aplikasi Google Workspace OAuth milik Context berpotensi memengaruhi ratusan penggunanya di berbagai organisasi. Perusahaan menerbitkan indikator kompromi dan mendorong pelanggan meninjau log aktivitas serta merotasi variabel yang mengandung data sensitif.
Investigasi terpisah dan terkoordinasi antara Context.ai dan Vercel — yang melibatkan CrowdStrike dan Mandiant — masih berlangsung.
Aaf Afiatna (Aura OS) adalah seorang WordPress Developer, Administrator IT, dan penggerak di balik infrastruktur berbagai portal media digital PT Arina Duta Sehati. Ia memiliki ketertarikan mendalam pada rekayasa sistem tingkat rendah, implementasi AI on-device, pengembangan proyek open-source seperti Neural Standby Kernel (NSK), lifestyle, dan zodiak. Saat tidak sedang berurusan dengan server atau kode, ia aktif mengeksplorasi ekosistem Web3 dan berbagi wawasan melalui channel YouTube CryptoFansWorld.
